有網(wǎng)友問(wèn)小編cisco 路由器如何查看aaa用戶(hù)?學(xué)習(xí)啦小編去網(wǎng)上搜索了相關(guān)資料，給大家奉上，希望大家喜歡。

　　CISCO路由器AAA介紹及相關(guān)路由配置

　　CISCO AAA www.2cto.com

　　3A概念：認(rèn)證authentication 授權(quán)authorization 記帳 accounting

　　cisco為路由器和交換機(jī)提供多種3A服務(wù)的方法：

　　1 自包含AAA 路由器/NAS自身包含AAA服務(wù) NAS(網(wǎng)絡(luò)訪(fǎng)問(wèn)服務(wù)器)

　　2 CISCO SECURE ACS 路由器/NAS上的AAA服務(wù)與外部CISCO SECURE ACS系統(tǒng)聯(lián)系

　　3 CISCO SECURE ACS SOLUTION ENGINE 路由器/NAS上的AAA服務(wù)與外部CISCO SECURE ACS SOLUTION

　　ENGINE系統(tǒng)聯(lián)系

　　4 第三方ACS 路由器/NAS上的AAA服務(wù)與外部CISCO認(rèn)可的第三方ACS系統(tǒng)聯(lián)系 radius tacacs+

　　cisco secure acs系列是供安全訪(fǎng)問(wèn)網(wǎng)絡(luò)的一種全面而靈活的平臺(tái)。他主要負(fù)責(zé)以下一個(gè)方面的安全

　　通過(guò)CISCO NAS和路由器撥號(hào)

　　管理員進(jìn)行路由器和交換機(jī)的控制臺(tái)及VTY端口訪(fǎng)問(wèn)

　　CISCO PIX防火墻訪(fǎng)問(wèn) www.2cto.com

　　3000系列集線(xiàn)器(僅用于RADIUS)

　　使用CISCO LEAP 和 PEAP的無(wú)線(xiàn)局域網(wǎng)支持

　　交換機(jī)的無(wú)線(xiàn)802.1X認(rèn)證

　　邊界路由器AAA配置過(guò)程

　　1 在vty,異步，aux和tty端口對(duì)特權(quán)EXEC和配置模式進(jìn)行安全訪(fǎng)問(wèn)

　　config t

　　enable password ***

　　service password-encryption

　　enable secret ******

　　2 在邊界路由器上，用aaa new-model命令啟用AAA。

　　config t

　　aaa new-model

　　username *** password ***

　　aaa authentication login default local

　　注意點(diǎn)，在配置aaa new-model命令的時(shí)候，一定要提供一種本地登入方式，防止由于管理性會(huì)話(huà)失效而引發(fā)

　　路由器鎖定。

　　3 配置AAA認(rèn)證列表

　　aaa authentication login 定義用戶(hù)視圖登入到路由器時(shí)需要使用哪個(gè)認(rèn)證步驟。

　　aaa authentication ppp 對(duì)于使用PPP的串行接口上的用戶(hù)會(huì)話(huà)，定義了要使用的認(rèn)證步驟。

　　aaa authentication enable default 定義了有人試圖通過(guò)enable命令進(jìn)去特權(quán)EXEC模式時(shí)，應(yīng)該采用的

　　認(rèn)證步驟

　　在訪(fǎng)問(wèn)服務(wù)器上全局啟用了AAA之后，還需要定義認(rèn)證方法列表，并將其應(yīng)用到鏈路和接口。這些認(rèn)證方法

　　列表指出了服務(wù)(PPP,ARAP,NASI,LOGIN) 和認(rèn)證方法(本地，TACACS+，RADIUS,login 或enable)，這里

　　建議將本地認(rèn)證作為最后一種方法。

　　定義認(rèn)證方法列表

　　1規(guī)定服務(wù)(PPP,ARAP,NASI)或登錄認(rèn)證

　　2標(biāo)識(shí)一個(gè)列表名稱(chēng)或采用缺省

　　3規(guī)定認(rèn)證方法，并規(guī)定其中一種不可用時(shí)，路由器如何反應(yīng)

　　4將其應(yīng)用到一下鏈路或接口之一

　　鏈路--tty,vty,console,aux和async鏈路，或者供登入的控制臺(tái)端口已經(jīng)供ARA的異步鏈路 www.2cto.com

　　接口--同步，異步以及為PPP.SLIP.NASI或ARAP而配置的虛擬接口

　　5在全局配置模式下使用aaa authentication命令，以啟用AAA認(rèn)證過(guò)程。

　　1 aaa authentication login命令

　　config t

　　aaa authentication login default enable

　　aaa authentication login console-in local

　　aaa authentication login tty-in line

　　console-in和 tty-in是管理員創(chuàng)建的簡(jiǎn)單的方法列表名稱(chēng)。

　　aaa authentication login {default | list-name} method1 [method2~~~]

　　default 用戶(hù)登入時(shí)，使用此變量后面列出的認(rèn)證方法，作為缺省的方法列表

　　list-name 當(dāng)用戶(hù)登錄時(shí)，用來(lái)命名認(rèn)證方法列表的字符串

　　method:

　　(enable) 使用enable口令來(lái)認(rèn)證

　　(krb5) 用kerberos 5來(lái)認(rèn)證

　　(krb5-telnet) 當(dāng)借助telnet連接路由器時(shí)，使用kerberos 5 telnet認(rèn)證協(xié)議

　　(line) 用鏈路口令來(lái)認(rèn)證

　　(local) 用本地用戶(hù)名數(shù)據(jù)庫(kù)來(lái)認(rèn)證

　　(none) 不用認(rèn)證

　　(group- radius) 使用包含所有RADIUS服務(wù)器的一個(gè)列表來(lái)認(rèn)證

　　(group tacacs+) 使用包含所有TACACS+服務(wù)器的一個(gè)列表來(lái)認(rèn)證

　　(group group-name) 用RADIUS或TACACS+服務(wù)器的一個(gè)子集來(lái)認(rèn)證 這些服務(wù)器定義在aaa group

　　server radius或aaa group server tacacs+命令中

　　2 aaa authentication ppp命令

　　aaa authentication ppp (default |list-name) method1 [method2~~~]

　　default 用戶(hù)登入時(shí)，使用此變量后面列出的認(rèn)證方法，作為缺省的方法列表

　　list-name 當(dāng)用戶(hù)登錄時(shí)，用來(lái)命名認(rèn)證方法列表的字符串

　　method:

　　(if-needed 如果用戶(hù)在TTY鏈路上認(rèn)證了，就不需要再認(rèn)證

　　(krb5 用kerberos 5來(lái)認(rèn)證

　　(local 用本地用戶(hù)名數(shù)據(jù)庫(kù)來(lái)認(rèn)證

　　(local-case

　　(none 不用認(rèn)證

　　(group group-name 用RADIUS或TACACS+服務(wù)器的一個(gè)子集來(lái)認(rèn)證 這些服務(wù)器定義在aaa group

　　server radius或aaa group server tacacs+命令中

　　3 aaa authentication enable default命令

　　aaa authentication enable default method1 [method2~~~]

　　method:

　　enable 使用enable口令來(lái)認(rèn)證

　　line 用鏈路口令來(lái)認(rèn)證

　　none 不用認(rèn)證

　　group radius 使用包含所有RADIUS服務(wù)器的一個(gè)列表來(lái)認(rèn)證

　　group tacacs+ 使用包含所有TACACS+服務(wù)器的一個(gè)列表來(lái)認(rèn)證

　　group group-name 用RADIUS或TACACS+服務(wù)器的一個(gè)子集來(lái)認(rèn)證 這些服務(wù)器定義在aaa group

　　server radius或aaa group server tacacs+命令中

　　4 對(duì)鏈路和接口應(yīng)用認(rèn)證命令

　　config t

　　aaa new-model 啟用AAA

　　aaa authentication login default enable 將enable口令作為缺省的登入方式

　　aaa authentication login console-in group tacacs+ local 無(wú)論何時(shí)使用名為console-in的列

　　表，都使用TACACS+認(rèn)證，如果TACACS+認(rèn)證失敗，己用本地用戶(hù)名和口令

　　aaa authentication login dial-in group tacacs+ 無(wú)論何時(shí)使用名為dial-in的列表，都

　　使用TACACS+認(rèn)證.

　　username *** password **** 建立一個(gè)本地用戶(hù)名和口令，最可能與console-in登錄方法列

　　表一起使用

　　line console 0 進(jìn)入鏈路控制臺(tái)配置模式

　　login authentication console-in 使用console-in列表作為控制臺(tái)端口0的登錄認(rèn)證

　　line s3/0

　　ppp authentication chap dial-in 使用dial-in列表作接口S3/0 的PPP CHAP的登錄認(rèn)證

　　4 配置供用戶(hù)通過(guò)認(rèn)證之后的AAA授權(quán)

　　aaa authorization 命令

　　aaa authorization {network|exec|commands level|reverse-access|configuration} {default

　　|list-name} method1 [method2~~~]

　　network 為所有網(wǎng)絡(luò)相關(guān)的服務(wù)請(qǐng)求進(jìn)行授權(quán)，包括SLIP,PPP,PPP NCP和ARA

　　exec 使用授權(quán)，以確定是否用戶(hù)可以運(yùn)行一個(gè)EXEC shell.

　　commands 為所有處于規(guī)定的特權(quán)級(jí)別的命令使用授權(quán)

　　level 規(guī)定應(yīng)該被授權(quán)的命令級(jí)別，有效值 0-15

　　reverse-access 為反向訪(fǎng)問(wèn)連接使用授權(quán)，例如反向Telnet

　　configuration 從AAA服務(wù)器上下載配置

　　default 使用此變量后列出的認(rèn)證方法，作為缺省方法列表供認(rèn)證

　　listname 用來(lái)命令認(rèn)證方法列表的字符串

　　method 規(guī)定以下關(guān)鍵字的至少一種

　　group 用radius或tacacs+服務(wù)器的一個(gè)子集來(lái)認(rèn)證，這些服務(wù)器定義在aaa group server radius

　　或aaa group server tacacs+命令中

　　if-authenticated 如果用戶(hù)為認(rèn)證，允許用戶(hù)訪(fǎng)問(wèn)請(qǐng)求的功能;

　　krb5-instance 使用被kerberos instance map命令定義的實(shí)例;

　　local 用本地用戶(hù)名數(shù)據(jù)庫(kù)來(lái)授權(quán)

　　none 不用授權(quán)

　　例子：

　　enable secret level 1 *** 為級(jí)別1的用戶(hù)建立一個(gè)enable secret口令

　　enable secret level 15 *** 為級(jí)別15的用戶(hù)建立一個(gè)enable secret口令

　　aaa new-model 啟用AAA

　　aaa authentication login default enable 將enable口令作為缺省的登入方式

　　aaa authentication login console-in group tacacs+ local 無(wú)論何時(shí)使用名為console-in的列

　　表，都使用TACACS+認(rèn)證，如果TACACS+認(rèn)證失敗，己用本地用戶(hù)名和口令

　　aaa authentication login dial-in group tacacs+ 無(wú)論何時(shí)使用名為dial-in的列表，都使用

　　TACACS+認(rèn)證.

　　username *** password **** 建立一個(gè)本地用戶(hù)名和口令，最可能與console-in登錄方法列

　　表一起使用

　　aaa authorization commands 1 alpha local 用本地用戶(hù)名數(shù)據(jù)庫(kù)來(lái)為所有級(jí)別1命令的使用進(jìn)行

　　授權(quán) www.2cto.com

　　aaa authorization commands 15 bravo if-authenticated group tacplus local 如果用戶(hù)已經(jīng)認(rèn)

　　證了，讓其運(yùn)行級(jí)別15的命令，如果還未認(rèn)證，在允許其訪(fǎng)問(wèn)級(jí)別15的命令之前，必須基于tacplus組中的

　　TACACS+服務(wù)器來(lái)認(rèn)證

　　aaa authorization network charlie local none 使用本地?cái)?shù)據(jù)庫(kù)來(lái)對(duì)所有網(wǎng)絡(luò)服務(wù)的使用授權(quán)，

　　如果本地服務(wù)器不可用，此命令執(zhí)行并不授權(quán)，用戶(hù)能使用所有的網(wǎng)絡(luò)服務(wù)

　　aaa authorization exec delta if-authenticated group tacplus 如果用戶(hù)已經(jīng)認(rèn)證，讓其運(yùn)行

　　EXEC過(guò)程，如果沒(méi)有認(rèn)證，在允許EXEC之前，必須基于tacplus組中的TACACS+服務(wù)器來(lái)認(rèn)證

　　privilege exec level 1 ping 為級(jí)別1的用戶(hù)啟用PING

　　line console 0

　　login authentication console-in 使用console-in列表作為控制臺(tái)端口0的登錄認(rèn)證

　　line s3/0

　　ppp authentication chap dial-in 使用dial-in列表作接口S3/0 的PPP CHAP的登錄認(rèn)證

　　5 配置規(guī)定如何寫(xiě)記帳記錄的AAA記帳

　　aaa accounting [auth-proxy |system |network |exec |connection |commands level]{default

　　|list-name} [vrf vrf-name] [start-stop|stop-only|none][broadcast][method][method2]

　　auth-proxy 提供有關(guān)所有認(rèn)證代理用戶(hù)事件的信息

　　system 為所有非用戶(hù)相關(guān)的系統(tǒng)級(jí)事件執(zhí)行記帳

　　network 為所有網(wǎng)絡(luò)相關(guān)的服務(wù)請(qǐng)求運(yùn)行記帳

　　exec 為EXEC shell會(huì)話(huà)運(yùn)行記帳。

　　connection 提供所有有關(guān)源子NAS的外出連接的信息

　　commands 為所有處于特定特權(quán)級(jí)別的命令運(yùn)行記帳，有效的特權(quán)級(jí)別取值0-15

　　default 使用本參數(shù)之后列出的記帳方式

　　list-name 用來(lái)命令記帳方式列表的字符串

　　vrf vrf-name 規(guī)定一個(gè)VRF配置

　　start-stop 在一個(gè)過(guò)程的開(kāi)端，發(fā)送一個(gè)開(kāi)始記帳通知，在過(guò)程結(jié)束時(shí)，發(fā)送一個(gè)停止記帳通知

　　。

　　stop-only 在被請(qǐng)求用戶(hù)工程結(jié)束時(shí)發(fā)送一個(gè)停止記帳通知

　　none 禁止此鏈路或接口上的記帳服務(wù)

　　broadcast 啟用發(fā)送記帳記錄到多個(gè)3A服務(wù)器，同時(shí)向每個(gè)組中第一臺(tái)服務(wù)器發(fā)送記帳記

　　錄 www.2cto.com

　　method 規(guī)定一下關(guān)鍵子中的至少一個(gè)

　　group radius 用所有RADIUS服務(wù)器列表作為記帳

　　group tacacs+ 用所有列出的TACACS+服務(wù)器來(lái)記帳

　　group group-name 用RADIUS或TACACS+服務(wù)器的一個(gè)子集作為記帳

　　在路由器上啟用下列命令以啟用幾張

　　aaa accounting system wait-start local 用記帳方法審計(jì)系統(tǒng)事件

　　aaa accounting network stop-only local 當(dāng)網(wǎng)絡(luò)服務(wù)中斷，發(fā)送停止記錄通知

　　aaa accounting exec start-stop local 當(dāng)EXEC過(guò)程開(kāi)始時(shí)，發(fā)送一個(gè)開(kāi)始記錄通知，結(jié)束時(shí)，發(fā)

　　送停止記錄

　　aaa accounting commands 15 wait-start local 在任何級(jí)別15的命令開(kāi)始之前，發(fā)送一個(gè)開(kāi)始記錄通

　　知，并等待確認(rèn)，當(dāng)命令中止時(shí)，發(fā)送一個(gè)停止記錄通知。

　　6 校驗(yàn)配置

　　debug aaa authentication 顯示有關(guān)認(rèn)證功能的調(diào)試信息

　　debug aaa authorization 顯示有關(guān)授權(quán)功能的調(diào)試信息

　　debug aaa accounting 顯示有關(guān)記帳功能的調(diào)試信息

　　以上內(nèi)容來(lái)源互聯(lián)網(wǎng)，希望對(duì)大家有所幫助。